Ir para Conteúdo

Blog

Ricardo Pires
Cybersecurity Manager do .PT
26-10-2020
O que é o DNSSEC e porque é tão importante?
O DNS é seguro?

Na especificação inicial do DNS, desenhado na década de 80, quando a Internet não tinha a dimensão que conhecemos hoje, não foram incorporadas quaisquer preocupações de segurança. Pelo contrário, o seu desenho dá primazia aos aspetos de eficácia, eficiência e escalabilidade. Por este facto, a especificação possui algumas vulnerabilidades de segurança que têm vindo a ser exploradas maliciosamente com o objetivo de induzir erros na resolução de nomes DNS.

Para colmatar estas falhas o DNS tem evoluído ao longo dos tempos, introduzindo novas camadas de segurança, como por exemplo, o DNSSEC.

O que é o DNSSEC?

O DNSSEC (Domain Name System Security Extensions) é o nome dado às extensões de segurança ao protocolo DNS (Domain Name System) e foi concebido para proteger e autenticar o tráfego DNS. Estas extensões fazem uso da tecnologia de criptografia assimétrica para assegurar a autenticidade e a integridade da informação trocada entre servidores DNS e entre estes e as aplicações do utilizador. Os mecanismos de segurança previstos no DNSSEC são complementares e transparentes para o utilizador, não interferindo, desta forma, com o normal funcionamento do protocolo DNS.

Qual a sua importância?

As extensões de DNSSEC visam melhorar a confiança dos utilizadores nos serviços prestados online, através de um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e informações e contribuindo, nomeadamente, para:

• Suprimir fragilidades do protocolo DNS; 
• Prevenir ataques do tipo man-in-the middle e cache poisoning; 
• Reduzir o risco de manipulação de informação; 
• Reforçar a fiabilidade do sistema.

Com o crescimento na adoção de DNSSEC, o DNS pode ainda tornar-se uma base segura para outros protocolos que requerem a salvaguarda de dados, é neste sentido que têm sido desenvolvidos novos protocolos sobre DNS para garantir mais segurança ao utilizador como por exemplo, DANE (DNS-based Authentication of Named Entities), DKIM (DomainKeysIdentifiedMail) ou o DMARC (Domain-based Message Authentication, Reporting & Conformance). 

Para saber se o seu website e serviço de correio eletrónico está em conformidade com os mais recentes standards para a comunicação segura entre sistemas pode verificar o seu domínio em www.webcheck.pt

10 razões para assinar um domínio com DNSSEC

• Os principais servidores recursivos abertos efetuam resolução DNSSEC;
• Já existem diversos fornecedores de serviço DNS com opção de ativação de DNSSEC;
• Existem ISPs que fazem validação DNSSEC;
• Disponíveis ferramentas para desenvolvimento de DNSSEC;
• Gera segurança e confiança nos seus clientes;
• Protege o utilizador final;
• Preferência, na comunidade, para a adoção de infraestruturas num modelo seguro;
• Boa prática de segurança, sendo a segurança um fator de diferenciação;
• A adoção de DNSSEC permite a implementação de novos protocolos;
• DNSSEC é a evolução natural do DNS contribuindo para uma Internet mais segura.

Consulte-nos para questões relacionadas com extensões de Segurança ao DNS (DNSSEC) em: https://www.dns.pt/pt/seguranca/dnssec/ 
Voltar aos Posts